PDF de programación - CIBSI FULL PAPER - Ecuador 2015

Modelo PERIL.
Repensando el gobierno de
la seguridad de la
información desde la
inevitabilidad de la falla.

Full Paper

Miércoles, 11 Noviembre

Bloque Gobierno de la Seguridad y Aspectos
Generales de la Ciberseguridad

Jeimy
Cano

Resumen/Abstract

La práctica actual de seguridad de la información
en las organizaciones ha estado marcada por un
ejercicio de aplicación virtuoso de estándares para
asegurar una gestión eficiente y efectiva de la
protección de la información, el cual busca alcanzar
certezas, pocos defectos y actuaciones predecibles
antes eventos inesperados.

Sin embargo, el contexto actual marcado por un
entorno VICA - Volátil, Incierto, Complejo y
Ambiguo, demanda actualizar la forma como se
gobierna la seguridad de la información para lo
cual se introduce el modelo PERIL, que fundado en
la incertidumbre, la debilidad y las fallas permite
dar cuenta de un ejercicio complementario de la
seguridad de la información que fortalece.

Palabras clave/Keywords
incertidumbre, estándares, gobierno de la seguridad, gestión de la seguridad,
inseguridad de lainformación.

Con la Organización de

Importancia de la Cultura
de la Seguridad en las
PYMES para la correcta
Gestión de la Seguridad de
sus Activos.

Full Paper

Miércoles, 11 Noviembre

Bloque Gobierno de la Seguridad y Aspectos
Generales de la Ciberseguridad

Luis Enrique

Sánchez Crespo

Ismael
Caballero

Daniel
Mellado

Resumen/Abstract

La sociedad de la información cada vez depende
más de los Sistemas de Gestión de la Seguridad de
a Información (SGSI), y poder disponer de estos
sistemas ha llegado a ser vital para la evolución de
las PYMES. Sin embargo, este tipo de compañías
requiere de SGSIs adaptados a sus especiales
características, y que estén optimizados desde el
punto de vista de los recursos necesarios para
implantarlos y mantenerlos. En este artículo se
presenta la importancia que dentro de los SGSIs
tiene la cultura de la seguridad para las PYMES y
cómo se ha introducido el concepto de cultura de
seguridad dentro de la metodología de gestión de
la seguridad en las pequeñas y medianas empresas
(MARISMA). Este modelo está siendo aplicado
directamente a casos reales, consiguiendo así una
constante mejora en su aplicación.

Eduardo

Antonio

Fernández-Medina

Santos-Olmos

Palabras clave/Keywords
Ciberseguridad, Sistemas de Gestión de Seguridad de la Información, SGSI,
Cultura de la Seguridad, PYMES, ISO27001, ISO27002.

Con la Organización de

Analysis of dynamic
complexity of the
Cybersecurity Ecosystem in
Colombia.

Full Paper

Miércoles, 11 Noviembre

Bloque Gobierno de la Seguridad y Aspectos
Generales de la Ciberseguridad

Angélica
Flórez Abril

Lenin Javier
Serrano Gil

Urbano Eliécer
Gómez Prada

Resumen/Abstract

This paper presents two proposals for the analysis
of dynamic complexity of the Cybersecurity
Ecosystem in Colombia, which allows the
understanding of the synergy between the legal
entities working in Cybersecurity in Colombia and
the distinct components of it.

The complexity of the Cybersecurity Ecosystem in
Colombia is shown in the form of influence
diagrams from System Dynamics and domain
diagrams from Software Engineering. The resulting
model presents Cybersecurity as a strategic
component in national security.

Luis Eduardo
Suárez Caicedo

Alejandro

Villarraga Plaza

Hugo Armando
Rodríguez Vera

Palabras clave/Keywords
cybersecurity, cyberspace, ecosystem, influence diagram, domain model, system
dinamics, software engineering

Con la Organización de

El uso de contraseñas, un
mundo lejos de la
extinción: Un Estudio
Empírico

Full Paper

Miércoles, 11 Noviembre

Bloque Gobierno de la Seguridad y Aspectos
Generales de la Ciberseguridad

Rolando P.
Reyes Ch.

Óscar
Dieste

Efraín R.
Fonseca C.

Resumen/Abstract

Antecedentes. En la actualidad los sistemas de información
utilizan distintos mecanismos de seguridad para permitir el
acceso a sus funcionalidades a usuarios identificados, siendo las
contraseñas el modo más común de validación. Existen varias
políticas y normas (unas más estrictas que otras) para la creación
de contraseñas; sin embargo, éstas aún siguen siendo
vulnerables.

Objetivo. Conocer las vulnerabilidades de diferentes niveles de
complejidad de contraseñas propuestos para el presente
estudio, así como conocer los tipos de contraseñas usados en los
ataques, tipos de atacantes y su procedencia.

Método. Esta investigación fue llevada a cabo a través de un
estudio empírico basado en un experimento controlado. El
estudio se fundamentó en la utilización de honeypots para
emular un servidor SSH, el cual fue expuesto al internet durante
un tiempo aproximado de 30días.

Resultados. Se registró un gran número de ataques, los cuales
no llegaron a vulnerar ningún nivel de complejidad de
contraseñas propuestos.

Conclusión. A pesar que no fueron vulnerados los niveles de
complejidad propuestos, se considera que un incremento en el
factor tiempo, podría permitir que dichos niveles sean
vulnerados.

Palabras clave/Keywords
experimento controlado, vulnerabilidad, contraseña, entropía, ataque, honeypot.

Con la Organización de

Towards a Security Model
for Big Data

Full Paper

Miércoles, 11 Noviembre

Bloque Seguridad en Base de Datos

Julio

Moreno

David

García Rosado

Ismael
Caballero

Resumen/Abstract

Big Data technologies describe a new generation
of technologies and architectures, designed so
organizations can economically extract value from
very large volumes of a wide variety of data by
enabling high-velocity capture, discovery, and/or
analysis. This new technology raises new risks due
to more volume and variety of data. Issues related
to data security and privacy are one of the main
concern in today’s era of “big data.” It is necessary
to know before of involving in big data, which are
the most important security needs, requirements
and aspects to assure a high security level in our
applications, transactions, data processing and
decision management. In this paper we analyze the
most important privacy and security aspects and
requirements found in Big Data and we establish a
security model aligned with security quality factor
where the most relevant security and privacy
aspects considered in Big Data are defined.

Manuel Ángel

Serrano

Eduardo

Fernández-Medina

Palabras clave/Keywords
Big Data, Security, Information Model, security requirements.

Con la Organización de

Mitigación de Ataques
DDoS a través de
Redundancia de Tablas en
Base de Datos

Full Paper

Miércoles, 11 Noviembre

Bloque Seguridad en Base de Datos

Diego

Christian

Walter

Romero Vásconez

Bastidas Espinosa

Fuertes Díaz

Mauro
Silva

Resumen/Abstract

La cantidad de ataques de tipo Denegación de Servicios a las
pequeñas y medianas empresas, se han triplicado en el año
2014, con respecto al año 2013. El presente estudio es un
aporte a este tipo de empresas para que en lugar de realizar
inversiones económicas en software de seguridad,
modifiquen el funcionamiento de sus gestores de bases de
datos. Para llevarlo a cabo, en una fase inicial, el experimento
se realizó en una sola máquina. Sin embargo, los resultados
no fueron los esperados, pues las consultas a la BDD no eran
eficientes en el tiempo, pues los recursos eran compartidos
por el software utilizado. Luego se decidió crear un entorno
físico con tres máquinas que tengan la base de datos
redundante, dentro de una red inalámbrica. En esta topología
se inyectaron ataques para denegar el servicio de manera
distribuida. Luego se realizaron varias pruebas con sus
respectivas mediciones variando el número de clientes (i.e. de
un cliente a dos simultáneos), comparándose luego los
efectos. Los resultados muestran que al aumentar el número
de consultas simultáneas, el motor de la base de datos se
apodera del procesador y no permite que se realicen otras
tareas. Además el conector ODBC
inserta una capa
intermedia denominada nivel de interfaz de cliente SQL,
entre la aplicación y el gestor de la base de datos que
finalmente termina siendo bloqueado, manteniendo los
servidores en funcionamiento.

Palabras clave/Keywords
Balanceo de carga, Denegación de Servicio,Denegación Distribuida de Servicios,
Mitigación.

Con la Organización de

Evaluación de Ataques a las
Aplicaciones Web tipo
Inyección SQL a Ciegas
utilizando Escenarios
Virtuales como Plataforma
Experimental

Full Paper

Miércoles, 11 Noviembre

Bloque Seguridad en Base de Datos

Santiago
Hidalgo

Diego
Jaramillo

Víctor
Olalla

Resumen/Abstract

Los ataques a ciegas por Inyección SQL a las aplicaciones
Web, también conocidos como Blind SQL Injection Attacks,
tienen el propósito de obtener acceso sin restricciones a la
base de datos empresariales para conseguir información
potencialmente sensible. Ante este problema, el presente
estudio ha evaluado diversas herramientas de software útiles
para la generación de ataques y justipreciar cómo afectan al
rendimiento de los servidores para conseguir acceso a la base
de datos. Las herramientas probadas fueron Absinthe, BSQL
Hacker y The Mole, que funcionan sobre las plataformas
Windows y Linux respectivamente. Luego, se diseñó e
implementó un entorno virtual de red como plataforma
experimental, con segmentación LAN que impide el acceso
interno al servidor Web. Además, se desarrolló un aplicativo
utilizando el framework CodeIgniter para PHP, sobre un
servidor Apache y se conectó a una BDD Microsoft SQL 2008.
A continuación se modificó la lógica de programación y se
utilizó la clase llamada Active Record como parte de la
mitigación, donde se eviden